URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 63277
[ Назад ]

Исходное сообщение
"NAT Over VPN в FreeBSD"

Отправлено sNeo , 11-Янв-06 17:47 
Помогите плиз решить слудующую задачу.
Есть установленный VPN между FreeBSD 4.10-RELEASE и Cisco PIX. Все сделано статье: http://www.bshell.com/projects/freebsd_pix/static.html .
Итого, есть VPN с адресами 1.1.1.1 - это мой peer, 2.2.2.2 - удаленный peer. На концах туннеля адреса: 192.168.1.18 локальный - 192.168.1.1 - удаленный.

root@router# ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 1.1.1.1 --> 2.2.2.2
inet 192.168.1.18 --> 192.168.1.1 netmask 0xffffffff
--------

Задача в том, чтобы весь траффик идущий с сети 10.0.0.0/8 (есть соответствующий интерфейс fxp0, смотрящий в локалку) на 192.168.1.1 натился от адреса 192.168.1.18
Что я делал:
root@router# route get 192.168.1.1
route to: 192.168.1.1
destination: 192.168.1.1
interface: gif0
Роутинг настроен.
запуск ната:
/sbin/natd -n gif0 -p 8671 -s -m -u
ipfw add divert 8671 log ip from any to any via gif0
ipfw add pass log all from any to any via gif0
ipfw add pass all from any to any via fxp0
ipfw add pass all from 10.0.0.0/8 to 192.168.1.1
ipfw add pass all from 192.168.1.1 to 10.0.0.0/8
Вообщем - разрешено всё
--
В итоге пакеты уходят. На той стороне видно, что пакеты приходят с адреса 192.168.1.18, т.е. с нужного.
Вопрос в том, что пакеты не возвращаются. Тоесть они как-бы возвращаются, ибо tcpdump -i ed0 host 2.2.2.2 показывает, что идут ответы с ESP траффиком обратно, но куда-то пропадают. То-ли обратно не натятся, то ли еще что-то. В логах ничего не сказано. Отловить пакеты не смог. Что я не так сделал, или что мне нужно сделать для решения моей задачи?
Заранее спасибо за помощь.


Содержание

Сообщения в этом обсуждении
"NAT Over VPN в FreeBSD"
Отправлено Dor , 11-Янв-06 21:05 
>Помогите плиз решить слудующую задачу.
>Есть установленный VPN между FreeBSD 4.10-RELEASE и Cisco PIX. Все сделано статье:
>http://www.bshell.com/projects/freebsd_pix/static.html .
>Итого, есть VPN с адресами 1.1.1.1 - это мой peer, 2.2.2.2 -
>удаленный peer. На концах туннеля адреса: 192.168.1.18 локальный - 192.168.1.1 -
>удаленный.
>
>root@router# ifconfig gif0
>gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
>tunnel inet 1.1.1.1 --> 2.2.2.2
>inet 192.168.1.18 --> 192.168.1.1 netmask 0xffffffff
>--------
>
>Задача в том, чтобы весь траффик идущий с сети 10.0.0.0/8 (есть соответствующий
>интерфейс fxp0, смотрящий в локалку) на 192.168.1.1 натился от адреса 192.168.1.18
>
>Что я делал:
>root@router# route get 192.168.1.1
>route to: 192.168.1.1
>destination: 192.168.1.1
>interface: gif0
>Роутинг настроен.
>запуск ната:
>/sbin/natd -n gif0 -p 8671 -s -m -u
>ipfw add divert 8671 log ip from any to any via gif0
>
>ipfw add pass log all from any to any via gif0
>ipfw add pass all from any to any via fxp0
>ipfw add pass all from 10.0.0.0/8 to 192.168.1.1
>ipfw add pass all from 192.168.1.1 to 10.0.0.0/8
>Вообщем - разрешено всё
>--
>В итоге пакеты уходят. На той стороне видно, что пакеты приходят с
>адреса 192.168.1.18, т.е. с нужного.
>Вопрос в том, что пакеты не возвращаются. Тоесть они как-бы возвращаются, ибо
>tcpdump -i ed0 host 2.2.2.2 показывает, что идут ответы с ESP
>траффиком обратно, но куда-то пропадают. То-ли обратно не натятся, то ли
>еще что-то. В логах ничего не сказано. Отловить пакеты не смог.
>Что я не так сделал, или что мне нужно сделать для
>решения моей задачи?
>Заранее спасибо за помощь.
Это должно быть в /etc/ipsec.conf:
spdadd   1.1.1.1/24  2.2.2.2/24 any -P out ipsec
  ipcomp/transport//use;
spdadd   2.2.2.2/24  1.1.1.1/24 any -P out ipsec
  ipcomp/transport//use;


"NAT Over VPN в FreeBSD"
Отправлено sNeo , 12-Янв-06 19:13 
>Это должно быть в /etc/ipsec.conf:
>spdadd   1.1.1.1/24  2.2.2.2/24 any -P out ipsec
>  ipcomp/transport//use;
>spdadd   2.2.2.2/24  1.1.1.1/24 any -P out ipsec
>  ipcomp/transport//use;

Не помогло ...

А в принципе нат через ВПН работает?